اپنے بلاگ پر لکھتے ہوئے، Wordfence تھریٹ انٹیلی جنس ٹیم نے کہا کہ اس نے LiteSpeed Cache پلگ ان میں کراس سائٹ اسکرپٹنگ (XSS) کی کمزوری کا ذمہ داری سے انکشاف کیا ہے، یہ ایک مقبول ایڈ آن ہے جو 4 ملین سے زیادہ ورڈپریس ویب سائٹس پر انسٹال ہے۔ کمزوری نے شراکت دار کے مراعات کے حامل ہیکرز کو شارٹ کوڈز کا استعمال کرتے ہوئے بدنیتی پر مبنی اسکرپٹس لگانے کی اجازت دی۔
LiteSpeed Cache ایک پلگ ان ہے جو کیشنگ اور سرور کی سطح کی اصلاح کے ساتھ ورڈپریس ویب سائٹس کو تیز کرتا ہے۔ یہ پلگ ان ایک مختصر کوڈ فراہم کرتا ہے جو ورڈپریس میں شامل ہونے پر ایج سائیڈ ٹیکنالوجی کا استعمال کرتے ہوئے بلاکس کو کیش کرنے کے لیے استعمال کیا جا سکتا ہے۔
تاہم، Wordfence نے کہا کہ پلگ ان کا شارٹ کوڈ کا نفاذ غیر محفوظ تھا، جس کی وجہ سے ان صفحات میں صوابدیدی اسکرپٹ داخل کیے جا سکتے ہیں۔ کمزور کوڈ کی جانچ سے یہ بات سامنے آئی کہ شارٹ کوڈ کا طریقہ مناسب طریقے سے ان پٹ اور آؤٹ پٹس کو چیک نہیں کرتا ہے۔ اس نے دھمکی آمیز اداکار کو XSS حملے کرنے کی اجازت دی۔ ایک بار کسی صفحہ یا پوسٹ میں داخل ہونے کے بعد، اسکرپٹ جب بھی صارف اس پر جائے گا اس پر عمل درآمد ہوگا۔
LiteSpeed Cache ورڈپریس پلیٹ فارم پر ایک مشہور اسپیڈ اپ پلگ ان ہے۔
اگرچہ کمزوری کے لیے سمجھوتہ کرنے والے اکاؤنٹ یا صارف کو بطور معاون رجسٹر کرنے کی ضرورت ہوتی ہے، Wordfence کا کہنا ہے کہ حملہ آور حساس معلومات چرا سکتا ہے، ویب سائٹ کے مواد میں ہیرا پھیری کر سکتا ہے، منتظمین پر حملہ کر سکتا ہے، فائلوں میں ترمیم کر سکتا ہے، یا زائرین کو بدنیتی پر مبنی ویب سائٹس پر بھیج سکتا ہے۔
Wordfence نے کہا کہ اس نے 14 اگست کو LiteSpeed Cache ڈویلپمنٹ ٹیم سے رابطہ کیا تھا۔ پیچ 16 اگست کو تعینات کیا گیا تھا اور 10 اکتوبر کو ورڈپریس کو جاری کیا گیا تھا۔ صارفین کو اس سیکیورٹی خامی کو مکمل طور پر دور کرنے کے لیے اب LiteSpeed Cache کو ورژن 5.7 میں اپ ڈیٹ کرنے کی ضرورت ہے۔ اگرچہ خطرناک، Wordfence فائر وال کی بلٹ ان کراس سائٹ اسکرپٹ تحفظ کی خصوصیت نے اس استحصال کو روکنے میں مدد کی۔
ماخذ لنک
تبصرہ (0)